你可能不知道的的linux文件權限管理

目錄的 rwx 權限

當前用戶：vagrant:vagrant
創建 testdir 目錄，進入 testdir 目錄內。創建文件 test。

$ mkdir testdir
$ cd testdir
$ touch test

修改 testdir 權限爲 000，嘗試執行 ls testdir

$ chmod 000 testdir
$ ls testdir/
ls: cannot open directory testdir/: Permission denied

修改 testdir 權限爲 400，嘗試執行 ls testdir

$ chmod 400 testdir
ls -l testdir/
ls: cannot access testdir/test: Permission denied
total 0
-????????? ? ? ? ?            ? test

結果：能夠讀取目錄下文件列表，但是看不到具體文件信息（權限、大小、用戶組、時間等），儘管當前用戶是 /testdir/test 的擁有者且具有 rwx 權限。
擁有目錄的 r 權限可以讀取目錄下的文件列表。

繼續，嘗試進入 testdir 目錄。

$ cd testdir/
-bash: cd: testdir/: Permission denied

看來 r 權限並不能讓我們具有進入目錄。
我們增加一個 x 權限試試。

~$ chmod 500 testdir/
~$ cd testdir/
~/testdir$ ls -l
total 0
-rw-rw-r-- 1 vagrant vagrant 0 Nov 19 08:16 test

成功進入。
擁有目錄的 x 權限能夠讓我們進入到目錄下。在此工作目錄下，我們可以查看文件列表及文件的屬性信息。

嘗試刪除 test 文件或者新建文件 test1。

~/testdir$ rm test
rm: cannot remove ‘test’: Permission denied
~/testdir$ touch test1
touch: cannot touch ‘test1’: Permission denied

擁有目錄的 r x 權限並不能允許我們改變目錄的內容。目錄裏的文件列表可以看做是目錄的內容。
擁有目錄的 w 權限可以對目錄的內容進行增刪。

~/testdir$ chmod 700 .
~/testdir$ rm test
~/testdir$ touch test1
~/testdir$ ls -l
total 0
-rw-rw-r-- 1 vagrant vagrant 0 Nov 19 08:30 test1

umask

在上面的例子裏，我們創建的新文件的權限是 664（-rw-rw-r--），爲什麼默認權限會是 664，我如果想改變新文件的默認權限怎麼辦？

控制檯輸入 umask:

$ umask
0002

umask 是權限的補碼。文件的默認權限是 666 - umask。
如果我們創建的文件不想讓其他用戶有 r 權限，則修改補碼爲 0006 即可。

~/testdir$ umask 0006
~/testdir$ touch test2
~/testdir$ ls -l | grep test2
-rw-rw---- 1 vagrant vagrant 0 Nov 19 08:38 test2

爲什麼文件的默認權限不是 777 - umask 呢？因爲新建的文件默認不具有可執行權限，所以只考慮 rw 權限的話，這波操作自然是 666 了。

目錄默認具有 x 權限，當 umask 是 0002 時，創建的目錄的默認權限應該是 777 - 0002 = 775：

~/testdir$ mkdir dir1
~/testdir$ ls -l | grep dir1
drwxrwxr-x 2 vagrant vagrant 4096 Nov 19 08:39 dir1

特殊權限

SUID

一般來說文件權限是 rwx。我們查看一下 passwd（修改密碼命令）的權限：

~/testdir$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 47032 May 16  2017 /usr/bin/passwd

細心點你會發現它的用戶權限的 x 位竟然是 s。這個權限叫 SUID，僅對二進制程序有效。
當用戶具有該文件的執行權限時，執行該文件會短暫的獲取該文件所有者權限的支持。

比如：所有用戶的密碼存在 /etc/shadow 這個文件裏，且該文件的權限默認是 -r-------- root root，僅root 用戶具有強制寫入權限，那爲什麼普通用戶還能修改自己的密碼呢？就是因爲 passwd 命令具有 SUID 權限，用戶執行該命令時會獲得文件所有者 root 的權限支持，從而修改自己的密碼。

SGID

當 group 的 x 位置變成 s 時，說明該文件具有 SGID 權限。
SGID 權限對二進制程序有效。類似 SUID，用戶在具有文件的 x 權限時，執行該文件，會獲取該文件所屬用戶組的權限支持。

除了二進制程序外，SGID也可以設置在目錄上。

若用戶對該目錄具有 SGID 權限：
用戶在此目錄下的有效用戶組將會變成該目錄的用戶組。
如果用戶具有該目錄的 w 權限，則用戶在此目錄下創建的文件的用戶組與此目錄的用戶組相同。
該權限對於項目開發很重要。

SBIT

該權限目前只對目錄有效：
當用戶對此目錄具有 w,x 權限，用戶在該目錄下創建文件夾或目錄後，僅自己和 root 纔有權限刪除該文件。

Others 的 x 權限位若爲 t，則說明文件夾具有 SBIT 權限。
比如 /tmp 目錄：

$ ls -l / | grep tmp
drwxrwxrwt   4 root    root     4096 Nov 19 09:09 tmp
$ sudo -s
# touch test
root@vagrant-ubuntu-trusty-64:/tmp# exit
exit
vagrant@vagrant-ubuntu-trusty-64:/tmp$ rm test
rm: remove write-protected regular empty file ‘test’? y
rm: cannot remove ‘test’: Operation not permitted

如何設置以上三種權限
如果在普通的權限設置的“三個數字”前再加一個數字，那前面這個數字就代表這幾個權限了：

• 4 爲 SUID
• 2 爲 SGID
• 1 爲 SBIT

比如：

# chmod 777 /tmp
# ls -l / | grep tmp
drwxrwxrwx   4 root    root     4096 Nov 19 09:17 tmp
# chmod 1777 /tmp
# ls -l / | grep tmp
drwxrwxrwt   4 root    root     4096 Nov 19 09:17 tmp

End。